Même après un git reset et un force-push, GitHub conserve les anciens commits accessibles via l’API ou le web.
Le projet utilise GH Archive et l’API GitHub pour détecter les PushEvent sans nouveaux commits, appelés commits « oops », qui révèlent les hashes supprimés.
L’outil open-source Force Push Scanner automatise la recherche de ces commits supprimés et emploie TruffleHog pour détecter les secrets exposés.
L’analyse a permis de découvrir des milliers de secrets actifs, générant environ 25 000 $ de primes de bug bounty.
Une étude de cas a montré qu’un token personnel GitHub d’administration Istio exposé aurait pu entraîner une compromission majeure de la chaîne logistique.
Get notified when new stories are published for "🇫🇷 Hacker News Français"